Як техпідтримка Tucha впоралася з Copy Fail: критична вразливість Linux CVE-2026-31431

Безпека даних клієнтів Туча стоїть на першому місці. Коли в кібербезпеці виникла нова загроза, технічна команда компанії відразу почала боротьбу з нею. Нещодавно розробники виявили серйозну проблему в ядрі Linux — CVE-2026-31431, яку називають Copy Fail.

Розказуємо, чим небезпечна ця вразливість і як ми захистили сервери наших клієнтів.

CVE-2026-31431 — це вразливість локального підвищення привілеїв (LPE). Простіше кажучи: звичайний користувач без жодного спеціального права може запустити скрипт (усього 732 байти коду Python) і отримати повний контроль над системою, включаючи права адміністратора.

• Масштаб вразливості: проблема торкається практично всіх популярних дистрибутивів Linux (Ubuntu, AlmaLinux, RHEL, SUSE та інших), які випустили за останні 9 років — з 2017 року.
• Хакер залишає мало слідів: зловмисник не змінює фали на диску. Це означає, що стандартні інструменти перевірки цілісності файлів не помічають цієї атаки.
• Експлойт працює без перебоїв: один скрипт можна використовувати на усіх системах не видозмінюючи його. Це робить вразливість надзвичайно небезпечною.

Команда почала діяти одразу, як тільки інформація про Copy Fail стала доступною.

Крок 1. Аудит серверів. Спеціалісти перевірили всі сервери, до котрих маємо доступ: як сервери нашої інфраструктури, так і сервери клієнтів, які адмініструємо. Визначили, які версії ядер Linux працюють на кожному з них.

Крок 2. Аналіз ризиків. Технічна команда виявила вразливі системи (зокрема дистрибутиви Ubuntu та AlmaLinux) та визначили ті ресурси, які перебували поза зоною ризику.

Крок 3. Миттєвий захист без очікування. Офіційні патчі від виробників вимагають часу на тестування. Щоб не чекати та не наражати клієнтів на небезпеку, ми внесли зміни в налаштування ядра серверів щоб унеможливити роботу цієї вразливості до виходу офіційного рішення.

Головний плюс такого підходу: ці обмеження усувають загрозу, не чекаючи на повне оновлення ядра, яке зазвичай потребує перезавантаження системи та зупинки роботи сервісів.

На серверах Tucha вже активовані обмеження, які роблять використання Copy Fail неможливим. Технічна команда щодня отримує оновлення від виробників дистрибутивів і розгортає офіційні патчі.  Наприклад, для систем CloudLinux та AlmaLinux стабільні оновлення вже перебувають на стадії активного розгортання.

Фахівці Туча стежать за ситуацією цілодобово.

Важливо: якщо ви самостійно керуєте власними віртуальними машинами, перевірте статус оновленого ядра Linux. Щоб не зробити помилку — зверніться до техпідтримки Tucha. Команда завжди готова допомогти і пояснити, як захистити ваш сервер.

Залишайтесь у безпеці разом з Tucha!